blog.telpl.de

Mit Knockd kann man Ports nach erfolgreichem Klopfzeichen öffnen und automatisch schliessen. Knockd fügt hierfür neue Iptables-Regeln ein. Es ist auch möglich per Knockd einzelne Dienste zu starten / stoppen. Knockd arbeitet sehr ressourcenschonen, nicht zuletzt weil das Binary nur wenige Bytes gross ist.

Die Konfiguration erfolgt ausschliesslich in der knockd.conf und ist sehr einfach gehalten. Das Beispiel zeigt die Konfiguration für SSH und der dazugehörigen Firewall Regel.

[options]
logfile = /var/log/knockd.log

[SSH]
sequence = 1234,56,78
seq_timeout = 15
tcpflags = syn,ack
start_command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --syn --dport 22 -j ACCEPT
cmd_timeout = 10
stop_command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --syn --dport 22 -j ACCEPT


Um Knockd noch sicherer zu machen, empfehle ich die Kombination mit Fail2Ban. Dadurch wird sichergestellt das ein Angreifer nicht permanent anklopft und versucht die Sequenz zu “erraten”. Stattdessen wird er zB nach 3 Klopfversuchen für 24 Stunden komplett gesperrt.

Beitrag zu Fail2Ban

bookmark

Other Posts

• May 11, 2009 -- Schutz vor Morfeus Attacken mit Fail2Ban (1)
• December 8, 2011 -- Serverstatus bei Login verbergen (0)
• January 12, 2012 -- Exchange 2010 Mailbox Grössen anzeigen (0)
• May 26, 2009 -- Icinga v0.8.0 Beta Release (0)
• October 28, 2009 -- HowTo chroot Bind9 Debian Lenny (0)
• October 22, 2009 -- Wordpress Exploit Scanner 0.5 (0)
• January 8, 2012 -- “history” mit Zeitstempel (0)
• May 4, 2009 -- Hyperic HQ das neue Nagios? (0)
• March 28, 2010 -- ctime, atime oder doch mtime (0)
• May 7, 2009 -- UPDATE: Icinga forkt Nagios (0)